Ich habe im Rahmen eines Mini-Projekts an der Uni eine kleine, simple Webapplikation entwickelt, welche die automatische Anmeldung auf bestimmten Webseiten ermöglicht. Ich möchte euch die Applikation kurz vorstellen, nicht im Sinne von Eigenwerbung, sondern um euch für allfällige Rückmeldungen, Kritiken und sonstige Anregungen zu motivieren.
Über folgende Adresse könnt ihr das Tool erreichen:
Der Vorgang ist simpel. Man meldet sich an, wählt seine gewünschten Webseiten (aus der noch bescheidenen Auswahl) und hinterlegt dann seine Userdaten (Username, Passwort). Zurück in der Liste der nun gespeicherten Bookmarks reicht ein “tap” auf den gewünschten Eintrag und man ist auf der jeweiligen Seite angemeldet.
Das Prinzip ist bestimmt nicht neu, viele kennen 1Password, welche im Gegensatz zu meiner Applikation nativ ist. Und meiner Meinung nach ist 1Password nicht so der Hammer, weil nicht Mobil Safari fürs Öffnen der Seiten benutzt wird (korrigiert mich, falls das mittlerweile anders ist).
Die Anmeldung nach der Registrierung erfolgt über eine zweifach-Authentifizierung. Jeder neue Benutzer erhält eine eindeutige ID, welche per URL übergeben wird (jeder Benutzer hat seine persönliche Anmeldeseite für das Tool). Ausserdem muss der Benutzer dann seine 4-stellige PIN eintippen, damit seine Bookmarks angezeigt werden.
Nun mein Anliegen:
Denkt ihr, so was könnte man im Alltag gebrauchen oder doch eher nicht?
Wenn ja, welche Webseiten würdet ihr euch wünschen für den Auto-Login?
Ich werde ev. ein wenig Zeit in die Weiterentwicklung investieren, falls das Ding Anklang findet. Bisweilen ist es noch nicht perfekt ausgereift (vor allem, was das Session-Handling angeht), aber zumindest funktioniert alles und die Übertragung der Daten erfolgt über HTTPS.
Interessant und funzelt bis jetzt gut! :-)
Wie sicher ist das Ganze? D.h. wo und wie werden meine Daten abgelegt? Sehe zudem keine Datenschutzhinweise etc. :-/
War auch neugierig und schaute mir das ganze einmal an. Funktioniert auch ganz gut, interessant und ganz ehrlich versteh ich nichtmal ganz genau wie das funktioniert. ;-)
Wie Stefan schon schrieb, das ganze ist bis jetzt fast ein wenig ‘unseriös’. Es sind keine Infos vorhanden, wie wird mit meinen Daten umgegangen…
Wenn die Auswahl an Websites entsprechend umfangreich wäre, das ganze einen vertrauenswürdigeren Eindruck macht. Warum nicht, die Idee an sich finde ich noch ganz gut.
Erst mal vielen Dank für das Feedback, hätte nicht gedacht, dass echt schon jemand was rückmeldet.
Natürlich möchte ich euch Klarheit verschaffen, was Datenschutz und Sicherheit angeht. Grundsätzlich ist der Betrieb der Applikation vorerst als Testlauf gedacht. Daher rührt auch das Server-Zertifikat, das auf “localhost” lautet. Die Applikation läuft derzeit auf einem eigens dafür eingerichteten Windows-Server, der hinter einer Firewall steht und nur gerade diese Webseite hostet. mir ist klar, dass ein selbstgemachtes Zertifikat nicht gerade Vertrauen erweckt, aber als Student ein “echter” Zerti zu kaufen, nur um dann zu merken, dass die ganze Aplikation unnütz ist erschien mir dann doch ein wenig unsinnig :-)
Was die eingegebenen Daten (Usernames und Passwörter für die einzelnen Services) angeht, die werden momentan mittels einfacher MD5 Encryption verschlüsselt und in einer Datenbank gespeichert. Die DB sowie alle Admin-Tools sind geschützt. Ich denke, für den Testbetrieb ist das ok, aber mir ist auch klar, dass man nie komplett sicher ist. Das ist auch der Grund, warum ich meinem Professor entgegnet habe, dass ich die Applikation im Moment unter keinen Umständen produktiv einsetzen möchte.
@Stefan, Michi: Könnt ihr mir sagen, wie ihr das machen würdet wegen der DS-Bestimmungen? Sprecht ihr da von Stadard-Statements oder müsste ich eurer Meinung nach etwas abfassen, das beschreibt, dass die Daten weder an Dritte weitergegeben noch auf irgendeine Weise “missbraucht” werden oder wie? Für Tipps wäre ich dankbar. Ich würde das alles dann auf einer Seite abfassen, die vom Loginscreen erreichbar wäre.
Noch kurz was zum «nützlich oder nicht»: derzeit ist es für mich nicht wirklich nützlich … derzeit … denn für gmail benutze ich das Apple iPhone App Mail und für Facebook das Facebook-App - die anderen derzeit angebotenen Dienste sind für mich persönlich auf dem iPhone schlicht uninteressant.
Betreffend Datenschutz geht es mir persönlich einfach darum, das sicher gestellt ist, dass die Daten nicht weiter gegeben werden, sicher abgelegt werden und kein «Missbrauch» damit betrieben wird etc. Siehe dir sonst mal unsere Nutzungsbestimmungen an - ist ein ziemlich aufwendiges Thema, aber sicher ist sicher! ;-)
Danke für die Antwort. Alles klar, ich befasse mich mal mit dem Thema. Mir wäre es schon wichtig, einen möglichst seröisen Eindruck zu erwecken, es wäre toll wenn es Leute gäbe, die das Tool wirklich brauchen könnten.
Dass es für dich in diesem Zustand nicht nützlich ist glaube ich dir aufs Wort - ich brauch es ja auch nur wegen Hattrick. Die Wahl der Service kam so zustande, weil jeder und jede die Websites Facebook.com, Gmail.com etc. kennt. Mir ginge es schon darum, die verfügbaren Seiten so zu erweitern, dass der Dienst Sinn macht.
Nun wünsche ich dir einen guten Rutsch ins neue Jahr :-)
Die Idee ist sicher gut.
An der Umsetzung happerts noch ein wenig (PHP Fehlermeldungen, fragwürdige Sicherheit).
Das aller, aller, allerwichtigste ist der Umgang mit den Passwörtern auf deinem Server. Objektiv eingeschätzt finde ich deine Lösung nicht sicher - sorry. Aber es gibt sicher Ansätze, um dies zu verbessern (Tipp: ev. mit Keys arbeiten, md5 ist nicht genug sicher, hast du die Durchgängigkeit der Sicherheit überlegt?).
Leider ist das Angebot an Services relativ mager. Wie wärs mit der Möglichkeit, selber Services hinzuzufügen oder wenigstens vorschlagen?
Du hast Feedback verlangt - und das ist meine Einschätzung. Gerne gebe ich dir weitere Tipps.
@pse: Ich habe gerade eben das Zerti ausgetauscht. Natürlich ist es noch immer self-signed aber zumindest für die richtige Domain ausgestellt und nicht abgelaufen. Immerhin ein Schritt in die richtige Richtung.
@Simon:
Auch dir vielen Dank für dein Feedback. Ich bin froh über konstruktive Kritik, also mach nur weiter…
Ich verstehe, wenn du sagst, die Lösung sei nicht sicher. Das ist ja der Grund, warum ich andere frage, ich möchte es so handhaben können, dass es eben sicher ist. Ich werde mich mal nach Neujahr mit der Thematik auseinandersetzen was Keys etc. angeht.
Das Angebot ist in der Tat mager. Es diente zur Illustration an der Präsi. Leider ist es recht kompliziert, Dienste hinzuzufügen. Der Vorgang läuft immer gleich ab: Ich muss die POST-Daten eines Anmeldeforms analysieren, die Form-Felder als Hidden-Fields in ein neues Form speichern und beim Absenden die richtigen Werte mitschicken. Dieser Vorgang lässt sich auf Grund der hunderttausend verschiedenen Login-Forms leider nur schwer automatisieren. Ausser du sagst mir eine einfach Lösung dafür :-) Xing benötigt zudem CURL, was in PHP integriert ist (siehe php.net).
Ich glaube, die zentrale Problematik bei Applikationen dieser Art ist die Frage, inwieweit ich bereit bin meine Zugangsdaten für die diversen Online-Dienste einem Dritten anzuvertrauen. Das dient zwar (gerade bei mobilen Geräten) der Bequemlichkeit, führt aber andererseits zu einem grösseren Risiko bezüglich Identity Theft (mit allen Konsequenzen). Den entsprechenden Spagat muss schlussendlich jeder für sich selber machen, aber sogar Lösungen wie OpenID und ähnliches sind unter anderem aus diesem Grund nicht der grosse Renner.
Für iphoners bedeutet das (mindestens) folgendes:
- die ganze “Datenkette” vom Userlogin über die Eingabe/Verwaltung/Speicherung der diversen Zugangsdaten bis hin zu deren jeweiligen Nutzung muss security-mässig hieb- und stichfest sein. Das ist schon für kommerzielle Anbieter nicht immer ganz einfach zu bewerkstelligen und für Hobby-Entwickler eher noch schwieriger.
- als Nutzer muss ich hinreichende Gewissheit haben, dass der Service lange genug existiert um den ganzen Aufwand mit der Online-Verwaltung meiner Account-Daten zu rechtfertigen (ausserdem brauche ich die Daten weiterhin lokal falls der Service mal ausfüllt, also wäre eine (gesicherte) Download-Möglichkeit hilfreich). Und mit der langfristigen Existenz stellt sich schnell mal die Finanzierungsfrage und damit sind wir (unter anderem) wieder bei der Sicherheit
- um attraktiv zu sein, müssen möglichst viele Websites via iphoners erreichbar sein. Neben dem Initialaufwand für die Analyse des Login-Vorgangs braucht es dazu auch immer wieder Wartungsaufwand da sich Login-Vorgänge zwischendurch auch mal ändern können -> kostet dann auch wieder Geld
Ich habe mir deinen Ausführungen durchgelesen und sehe durchaus die Problematik und die Schwierigkeiten, die ein solches Projekt mit sich bringen kann. Ich werde jedenfalls versuchen, eins nach dem anderen anzugehen und die verschiedenen Komponenten (vor allem, was die Sicherheit betrifft), zu optimieren. Solange nicht gleich 1000 Leute den Dienst nutzen wollen, halte ich das Ganze mal aufrecht.
Folgende Neuerungen habe ich bislang wieder implementiert:
Anstelle des self-signed SSL-Zertifikats ist nun ein “richtiges”, von RapidSSL (die auch Partnerschaften mit Verisign und Thawte haben) im Einsatz. Die Daten werden nund AES verschlüsselt (256 bit) übertragen.
Anstelle der MD5-Verschlüsselung in der Datenbank (es existieren Exploits für MD5 und SHA1) wird nun AES (ursprünglich “Rijndael”) eingesetzt. AES ist gemäss verschiedener Quellen momentan die sicherste Methode zur Verschlüsselung von Daten in MySQL-Datenbanken.
Als nächstes werde ich, sofern ich mich selber von der Nützlichkeit überzeugen kann, dynamische Keys für die AES-Encryption implementieren, so dass jeder User beim Speichern eines Passwortes einen neuen Key für die AES-Encryption automatisch erzeugt und dieser Key einmalig zum Einsatz kommt. Ausserdem finde ich die Idee von Simon Balz gut, dass die Benutzer die Möglichkeit haben sollten, neue Services vorzuschlagen.
Für neue Hinweise und Kritik bin ich jederzeit offen ;-) Vielen Dank an alle bis hierhin.
Gruess Thomas
Edit: Natürlich werde ich auch eine Datenschutzerklärung sowie detailliertere Hinweise zu Sicherheit und Nutzungsbedingungen etc. hinzufügen.
(Bearbeitet am 03. Januar 2009 um 11:36 Uhr von Thomas)
Anmelden um neue Antworten zu verfassen
Allegra Leser! Nur angemeldete Nutzer können bei diesem Beitrag Antworten hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.
Ab CHF 5.– im Monat
👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.
macprime unterstützen
macprime ForumWebapp: Automatischer Login für Websites
VonAntwort von Thomas
Unsere Sponsoren
Dich als Sponsor präsentieren und macprime mit möglich machen.
Stefan Rechsteiner
Michi
pse
Thomas
Stefan Rechsteiner
Thomas
Simon Balz
Thomas
pse
Thomas
(Bearbeitet am 03. Januar 2009 um 11:36 Uhr von Thomas)
Anmelden um neue Antworten zu verfassen
Allegra Leser! Nur angemeldete Nutzer können bei diesem Beitrag Antworten hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.